英国政府的 AI Security Institute(AISI)周四发布了更新的网络能力跟踪,数字修正了此前对该领域轨迹的估算。AISI 用"time horizon benchmarks"来衡量前沿模型的网络能力——也就是一个 AI 系统在自主完成网络安全任务时,能维持多长时间相对人类专家的对位水平。2026 年 2 月的估算:在 2.5M token 上限的前提下,自 2024 年底推理模型出现以来,80% 可靠度的网络 time horizon 大约每 4.7 个月翻一倍。2025 年 11 月的估算曾是 50% 和 80% 可靠度都是 8 个月——所以翻倍速度在三个月里大约缩短了一半。Claude Mythos Preview 和 GPT-5.5 之后甚至超过了这个修订后的 4.7 个月趋势;AISI 明确标出了未解决的问题——"这是相对现有进步速率的孤立断点,还是一个更快新趋势的一部分"。诚实的措辞很关键:AISI 没有宣布新趋势,只是记录了最新数据比刚修订过的估算还要快。
具体的 cyber-range 结果是把这件事具体化的部分。Claude Mythos Preview 成为首个完成 AISI 两个评测 range 的模型。"The Last Ones"——一个 32 步的模拟企业网络攻击——10 次尝试解出 6 次。"Cooling Tower"——一个 7 步的工业控制系统攻击,此前没有任何被测前沿模型解开过——10 次尝试解出 3 次。GPT-5.5 把"The Last Ones"在 10 次里解出 3 次,但在报告的 run 里没解开 Cooling Tower。即使加上 2.5M token 的上限,Mythos 与 GPT-5.5 在这套有限的 cyber 测试里,在最长的任务上也几乎都达到了 100% 成功率。Cooling Tower ICS 这一项是操作上意义最大的数据点——在这一轮之前,工业控制场景顶住了所有被测前沿模型;一个模型 3/10 的成功率,就足以跨过任何运行 OT 系统的组织在防御规划上的门槛。AISI 的跟踪和 METR 一致——这家非营利研究机构跟踪的 AI 软件工程能力指标,自 2024 年底起大约每 4.2 个月翻一倍。
最值得仔细权衡的是 benchmark 饱和问题。AISI 明确写:"最新的前沿模型正在开始超过当前网络评测框架的极限……一旦模型持续完成最难的任务,benchmark 就更难继续测量了。"如果把 2.5M token 上限撤掉,成功率会高到让 time horizon 估算"不再能可靠计算"。这就是 CLAUDE.md 重视的 harness 披露诚实——benchmark 正接近无法在模型之间区分的状态,AISI 自己讲出来了。推论是:前沿实验室下一轮的能力声明,要么需要新的 eval,要么有变得毫无意义的风险;预期会看到 Mythos Preview 和 GPT-5.5 被引用为"在 AISI 网络套件上 100%",而底层差异却看不见。把这个跟昨天的 VectorSmuggle 研究(RAG 基础设施上的新攻击类)、上周的微软 MDASH(100+ agent 找出 Windows RCE)放一起看:进攻侧能力正在多个测量框架上同时复利。
对 builder 和防御侧安全团队:假设这条 4.7 个月翻倍轨迹至少能撑到 2026 年 Q3,把 Mythos/GPT-5.5 的超额表现当作额外余量。具体规划上:(1) 单一前沿模型能自主撑下来的多步入侵操作的时间跨度,现在以"几十步"为单位、不是 one-shot exploit——围绕 point-in-time 检测搭起来的防御监控会继续被推退;(2) 工业控制系统门槛(Cooling Tower)被一个模型跨过,意味着在当前轨迹上,这个门槛会被其它模型在 3-6 个月内跨过——OT/ICS 安全团队应该用 AISI 风格的 cyber-range eval,在内部对他们预期会面对的模型自己跑一遍;(3) AISI 的 cyber-range 方法论本身值得借走——"模型能不能解一个 32 步的企业攻击场景"作为 eval,比 CTF 总分聚合更能用于风险建模。盯着 AISI 下一次季度更新;如果 4.7 个月翻倍能保持,到年底,网络 time horizon 大约会是现在的 4 倍。